PHP | Безопасность | Исполняющий файл

Это раз.

Ну ещё фантазию включить:)

1. Бить бубен и тыкать дулю в монитор - самый верняк. Проверяли с коллегами. Можно ещё нанять спецагентов, чтобы вычисляли тех, кто посылает хакерские запросы.

2. в вызывающем файле определять переменную, а в вызываемом проверять её наличие;

3. в скрытые параметры формы записать ID формы, и такой же ID записать в переменную сессии. Потом сравнить.

4. Юзать капчу

и ещё много много много....много вариантов.

gterkin, в данном случае нет include/require, про недостатки сессий уже говорилось, капча не комельфо.

Мне пока видиться наилучший вариант с уникальным ключом записывающимся в базу/файл.

А где вы видели, чтобы можно было полностью отгородиться от посылки данный не с формы? Если найдете, кто сумел такое сделать, срочно напишите мне в личку. Есть защита от дурака. Но для поискового запроса я бы и такого делать не стал. Если запросы приходят очень часто, добавлять капчу. Перестали часто приходить - убрали капчу. Хотя я бы ради поискового запроса вообще не парился.

ОСТАЕТСЯ ВАРИАНТ.

Когда только бубен в руки и исполнить ритуальный танец. Дули тыкать строго на север.

Я вообще то ночью набрел на пост. Не дочитал до того момента, где вы про аякс сказали. Тагды, если у вас аякс, и воображение всё-таки включать ВЫ не желаете, выполняем пункт №1. во время исполнения ритуального танца, должно прийти АЗАРЕНИЕ (снова возвращаюсь с намеком на аякс) - КАК ОБОЙТИ "НЕДОСТАТКИ" СЕСИИ.

Только не говорите, что получив ID формы на параметрах формы, можно вставить его в прогу и выполнить запрос не с формы. Этоже какому дуралею понадобится такую прогу писать?

Вобщем вариант с ID формы используется давнои павсемесна в том же, например, маилру. Раньше там писалось для тормозов, которые за 30 минут не умеют форму заполнить, что они в пролете, слишком долго думали, а с приходом аякса обновляют сессию раз в 20 минут посылкой маленького аякс-запроса, который нужен только для того, чтобы обновить сессию.

Шо то я много сегодня пишу :)....

Я вообще не совсем понимаю, для чего такое делать?

Ну и пусть будет возможность запросить скрипт напрямую. В чём здесь проблема?

Если к скриптам нужно ограничить доступ, то сделайте простейшую http-авторизацию.

Дополнительно можно проверять referer, что-то по типу капчи и т.п.

полностью поддерживаю Himiko

в чем проблемма ? обьясните чего вы опасаетесь

Если капчу делать не охото или вводить си-му с уникальными ключами в сессии/базе то можно сделать еще 1 вариант, менее безопасный но простой в реализации.

На html страничке выставляем юзеру куку с помощью javascript, ее содержимое - к примеру день + ip юзера и все это в каком-либо хеше или в посоленном виде, куку ставим на 1 день. Ну и аналогично проверяем на php скрипте наличие этой куки и ее правильность... Си-ма велосипед, но при определенных "вариациях" отработает свое :)

а каптача или сессиия что то меняют , ТС так и не ответил чего он опасается

Ну единственное чего он может опасается - ботов или авто-заполнения формы, надеюсь входящие данные с формы перед выполнением запроса в базу - фильтруются ...

ну так надо определиться с угрозой , и тогда можно рекомендовать какое то решение

зачем в этой схеме IP ?

недостатки ip -

а) все пользователи за NATом имеют один и тот же IP - актуально для мобильного и-нета.

б) при обрыве связи может сменится IP, т.е. "авторизация" слетит - актуально для мобильного и-нета.